26 квітня 2016 року Європейський парламент прийняв General Data Protection Regulation (GDPR) (Регламент ЄС 2016/679) щодо захисту персональних даних і у травні 2018 року Європа переключиться на оновлені правила обробки персональних даних.

Новий регламент надає резидентам ЄС інструменти для повного контролю над своїми персональними даними та посилює відповідальність за порушення правил обробки персональних даних.

Згідно GDPR персональні дані – це будь-яка інформація, що відноситься до ідентифікованого або ідентифікованому фізичній особі (суб’єкт даних), по якій прямо або опосередковано можна його визначити. До такої інформації належить, в тому числі, ім’я, дані про місце розташування, онлайн ідентифікатор або один або кілька факторів характерних для фізичної, фізіологічної, генетичної, розумової, економічної, культурної або соціальної ідентичності цієї фізичної особи (п. 1 ст. 4).

Хто підпадає під діє GDPR

 Важливим нюансом GDPR є екстериторіальний принцип дії нових європейських правил обробки персональних даних і тому застосовується до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС незалежно від місце знаходження компанії.

Першою категорія, яка підпадає під дії GDPR є філії та представництва компаній, що перебувають на території ЄС.

Наступна категорія до якої застосовуються GDPR є  компанії, які пропонують послуги і товари громадянам та резидентам ЄС (послуги/товари адаптовані на місцеві мови мешканців ЄС, оплачуються в місцевих валютах ЄС, надаються на національних доменах верхнього рівня країн ЄС).

Це означає, що компанія здійснює обробку персональні дані європейців і тому  зобов’язані дотримуватися нові європейські правила обробки персональних даних.

Крім того, компанії створених за межами ЄС і здійснюють моніторинг поведінки суб’єктів даних, також, підпадають під дію GDPR. Моніторинг може включати відстеження резидента ЄС в інтернеті або використання методів обробки даних для профілювання окремих осіб, їх поведінки або їх відношення до чого-небудь (наприклад, для аналізу або прогнозування особистих переваг).

Новий регламент вносить ряд змін в правила, що регулюють захист персональних даних, включаючи деякі обов’язки:

• враховувати правила захисту персональних даних на етапі планування;
• документувати процеси обробки персональних даних;
• проводити оцінку ризиків, пов’язаних із забезпеченням недоторканності приватного життя;
• повідомляти наглядові органи у сфері захисту персональних даних про інциденти, пов’язані із забезпеченням безпеки персональних даних. Компанії зобов’язані повідомляти регулюючі органи (а в деяких випадках і суб’єктів даних) про будь-які порушення, пов’язаних з персональними даними протягом 72 годин після виявлення такого порушення.

GDPR встановлює 6 основних принципів обробки персональних даних, а саме:

 Законність, справедливість і прозорість. Персональні дані повинні оброблятися законно, справедливо і прозоро. Будь-яку інформацію про цілі, методи та обсяги обробки персональних даних слід викладати максимально доступно і просто.

1. Обмеження мети. Дані повинні збиратися і використовуватися виключно в тих цілях, які заявлені компанією (онлайн-сервісом).
2. Мінімізація даних. Не можна збирати особисті дані в більшому обсязі, ніж це необхідно для цілей обробки.
3. Точність. Особисті дані, які є неточними, повинні бути видалені або виправлені (на вимогу користувача).
4. Обмеження зберігання. Особисті дані повинні зберігатися в формі, яка дозволяє ідентифікувати суб’єктів даних на термін не більше, ніж це необхідно для цілей обробки.
5. Цілісність і конфіденційність. При обробці даних користувачів компанії зобов’язані забезпечити захист персональних даних від несанкціонованої або незаконної обробки, знищення та пошкодження.

Призначення відповідального за захист персональних даних

Компанія, які здійснюють регулярні та систематичні масштабні спостереження, моніторинг осіб або які здійснюють масштабну обробку спеціальних персональних даних, наприклад, медичні записи або відомості про кримінальну судимість, призначає відповідального за захист персональних даних.

Але, будь-яка організація може добровільно призначити співробітника щодо захисту даних для управління процесами обробки даних користувачів і контролю за дотриманням вимог GDPR. У такому випадку компанія повинна опублікувати інформацію про такого співробітника, а також направити її національному регулятору щодо захисту персональних даних відповідної країни ЄС.

 Права суб’єктів даних

Європейські користувачі мають право запитувати підтвердження факту обробки їх даних, місце і мету обробки, категорії оброблюваних персональних даних, яким третім особам персональні дані розкриваються, період, протягом якого дані будуть оброблятися, а також уточнювати джерело отримання організацією персональних даних та вимагати їх виправлення. Більш того, користувач має право вимагати припинення обробки своїх даних.

У GDPR також передбачено право європейцям видаляти свої особисті дані за запитом щоб уникнути їх розповсюдження або передачі третім особам. Це право поширюється не тільки на пошукові системи. Будь-яка компанія, яка обробляє дані, повинна видаляти будь-чиї персональні дані за запитом, якщо це не суперечить інтересам суспільства або іншим фундаментальним правам європейців.

Також, GDPR, надає право на перенесення даних (right to data portability). Таке право є новацією в правилах обробки даних ЄС. Таке право полягає в тому, що компанії зобов’язані надавати безкоштовно електронну копію персональних даних іншої компанії на вимогу самого суб’єкта персональних даних.

GDPR встановлює високі вимоги щодо форми отримання згоди на обробку даних. Згода особи на обробку її персональних даних має бути виражене у формі затвердження або у формі чітких активних дій користувача. Згода на обробку персональних даних буде недійсна, якщо у користувача не було вибору або не було можливості відкликати свою згоду без шкоди для самого себе. Якщо користувач дав згоду на обробку своїх персональних даних, контролер повинен мати можливість продемонструвати це.